1. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Introducción a los conceptos de Seguridad de
información
Entendiendo los conceptos básicos de seguridad
¿0.1 Que es la seguridad de la información?
La Seguridad de la información es el conjunto de estándares, procesos,
procedimientos, estrategias, recursos informáticos, recursos educativos
y recurso humano integrado para proveer toda la protección debida y
requerida a la información y a los recursos informáticos de una empresa,
institución o agencia gubernamental
La información es un recurso o activo que, como otros recursos importantes del
negocio, es esencial a una organización y a su operación y por consiguiente necesita ser
protegido adecuadamente. Esto es especialmente importante en el ambiente comercial
cada vez más interconectado. Como resultado de esta ínter conectividad creciente, la
información se expone ahora a un número ascendente y a una variedad más amplia de
de amenazas y vulnerabilidades.
La información puede existir en muchas formas. Puede imprimirse o puede escribirse en
el papel, guardar electrónicamente, transmitirse por el correo o usando los medios
electrónicos, puede ser mostrada en las películas, o hablada en la conversación.
Cualquier forma que la información tome, o cualquier medio por donde sea compartida
o guardada, siempre debe ser apropiadamente protegida.
La seguridad de la información es la protección de información de una gama amplia de
amenazas para asegurar la continuidad comercial, minimizar el riesgo comercial, y
aumentar al máximo el retorno en las inversiones y las oportunidades de negocios.
La seguridad de la información se logra llevando a cabo un conjunto conveniente de
controles, incluyendo las políticas, los procesos, procedimientos, estructuras
orgánicas y funciones del hardware y software. Estos controles deben ser
establecidos, implementados, supervisados, revisados y mejorados, dónde sea necesario,
para asegurar que se reúnen la seguridad específica y objetivos de negocio de la
organización. Esto debe hacerse en conjunción con otros procesos de administración
de negocios.
¿0.2 Por qué se necesita la seguridad de la información?
La información y los procesos de apoyo, sistemas, y redes son uno de los recursos mas
importantes del negocio. Definir, lograr, mantener y mejorar la seguridad de la
información pueden ser esenciales para mantenerse en el borde competitivo, mantener
un alto flujo del dinero en efectivo, tener rentabilidad, cumplimiento legal, y
sostenimiento de la imagen comercial.
Se enfrentan las organizaciones y sus sistemas de información y redes con las amenazas
de seguridad de un amplio rango de fuentes, incluyendo fraude ayudado por
computadora, espionaje, sabotaje, vandalismo, fuego o diluvio e inundaciones.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 1
2. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Las causas de daño como el código malévolo, penetración de computadoras, y ataques
de negación del servicio han llegado a ser más comunes, más ambicioso, y mas
sofisticados.
La seguridad de la información y proteger las infraestructuras críticas del negocio es
importante para ambos sectores público y de negocios del sector privado. En ambos
sectores, la seguridad de la información funcionará como un habilitador, por ejemplo
para lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. La
interconexión de las redes privadas públicas y privadas y el compartir de recursos de
información aumentan la dificultad de lograr el control de acceso. La tendencia a la
informática distribuida también ha debilitado la efectividad del control central,
especializado.
No se han diseñado muchos sistemas de información seguros. La seguridad que puede
lograrse a través de los medios técnicos es limitada, y debe apoyarse por una apropiada
gestión apropiada y por los procedimientos. Identificando qué controles deben ser
implementados requiere planificación cuidadosa y atención al detalle. La gestión de la
seguridad de la información requiere, como un mínimo, participación por todos los
empleados de la organización. También puede requerir la participación de los
accionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas.
Asesoría y Consejo de especialista de las organizaciones externas también puede
necesitarse.
0.3 Cómo establecer los requerimientos de seguridad?
Es esencial que una organización identifique sus requerimientos de seguridad. Hay tres
fuentes principales de los requerimientos de seguridad.
1. una fuente se deriva de evaluar los riesgos de la organización, mientras se tienen en
cuenta la estrategia de negocio global de la organización y sus objetivos. A través de
una valoración de riesgo, se identifican amenazas a los recursos, se evalúa la
vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial.
2. otra fuente es los requerimientos legales, estatutarios, reguladores y contractuales que
la organización, sus socios comerciales, contratistas, y proveedores de servicio tienen
que satisfacer, y el ambiente socio-cultural.
3. una fuente extensa es el conjunto particular de principios, objetivos y requerimientos
comerciales para la información que se procesa que una organización ha desarrollado
para apoyar sus funcionamientos.
0.4 Evaluando los riesgos de seguridad
Los requerimientos de seguridad son identificados mediante una valoración metódica de
riesgos de seguridad. El gasto en los controles se necesita probablemente equilibrar
contra el daño comercial que puedan ser resultado de las fallas de seguridad.
Los resultados de la valoración de riesgo ayudarán a guiar y determinar la acción de
gestión apropiada y las prioridades para manejar los riesgos de la seguridad de la
Autor: Ingeniero Jaime Hernando Rubio Rincón página 2
3. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
información, y por llevar a cabo los controles seleccionados para protegerse contra cada
uno de estos riesgos.
La valoración de riesgo debe repetirse periódicamente para estar atentos a cualquier
cambio que pudiera influir en los resultados de valoración del riesgo.
.
0.5 Seleccionando Controles
Una vez se han identificado requerimientos de seguridad y riesgos y las decisiones para
el tratamiento de riesgos han sido tomadas, deben seleccionarse los controles
apropiados e implementarlos para asegurar la mitigación de los riesgos a un nivel
aceptable. Pueden seleccionarse los controles de esta norma o de otros juegos de
controles, o pueden diseñarse nuevos controles apropiados para satisfacer las
necesidades específicas. La selección de controles de seguridad depende en decisiones
orgánicas basadas en el criterio para la aceptación de riesgo, la opciones en el
tratamiento de riesgo, y el enfoque de gestión general de riesgo aplicado en la
organización, y también debe estar sujeto regulaciones relevantes y a la legislación
internacional y nacional.
Algunos de los controles en esta norma pueden ser considerados como guías de los
principios para la gestión de la seguridad de la información y aplicable para la mayoría
de las organizaciones. Ellos se explican en más detalle debajo bajo del encabezado “el
punto de partida de seguridad de la información.”
Puede encontrarse más información sobre seleccionar controles y otras opciones de
tratamiento de riesgo en la cláusula 4.2 “Tratando los riesgos de seguridad".
0.6 Punto de partida de seguridad de la información
Varios controles pueden ser considerados como un buen punto de partida para llevar a
cabo la protección de la información. Ellos o están basado en los requerimientos
esenciales de tipo legislativo o se consideran ser una practica común para la seguridad
de la información.
Controles considerados esenciales a una organización desde un punto de vista del
legislativo incluyen, (dependiendo de la legislación aplicable):
a) protección de los datos y retiro de información personal
b) protección de archivos de la organización
c) los derechos de la propiedad intelectual
Controles considerados como práctica común para la seguridad de la información
incluyen:
a) el documento de políticas de seguridad de la información
b) la asignación de responsabilidades de seguridad de la información c) el
conocimiento de seguridad de la información, educación, y entrenamiento
d) el proceso correcto en las aplicaciones ;
e) la gestión de vulnerabilidad técnica ;
f) la gestión de continuidad del negocio ;
Autor: Ingeniero Jaime Hernando Rubio Rincón página 3
4. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
g) la gestión de incidentes de seguridad de la información y mejoras
Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los
ambientes.
Debe notarse que aunque todos los controles en esta norma son importantes y deben ser
considerados, la relevancia de cualquier control debe determinarse a la luz de los riesgos
específicos que una organización pudiera enfrentar. Aunque el enfoque anterior es
considerado un punto de partida bueno, no reemplaza la selección de controles basado
en una valoración de riesgo.
0.7 Factores críticos de éxito
La experiencia ha mostrado que los factores siguientes son a menudo críticos a la
aplicación exitosa de la seguridad de la información dentro de una organización:
a) la política de seguridad de la información, la estrategia, objetivos, y
actividades que reflejen los objetivos de negocios;
b) un enfoque y una estructura para implementar, mantener, supervisar y mejorar
la seguridad de la información que sea consistente con la cultura organizacional;
c) el apoyo visible y comprometido de todos los niveles de gestión;
d) una comprensión buena de los requerimientos de seguridad de la información,
valoración de riesgo, y gestión del riesgo;
e) el mercadeo eficaz de los conceptos de seguridad de la información a todos
los gerentes, empleados, tercera partes para lograr el conocimiento;
f) la distribución de guía en la política de seguridad de la información y normas
a todos los gerentes, los empleados y terceras partes;
g) la provisión financiera para consolidar las actividades de gestión de la
seguridad de la información;
h) proporcionar conocimiento apropiado, entrenamiento, y educación;
i) establecer un proceso eficaz de manejo de incidentes de seguridad de la
información;
j) la aplicación de un sistema de mediciones que se pueda usar para evaluar el
rendimiento en la gestión de seguridad de la información y realimente
sugerencias la mejora de esa gestión.
0.8 Desarrollo de sus propias pautas
Este código de práctica puede considerarse como un punto de partida para la
organización en vías de desarrollo específico de las pautas. No todos los controles y
guías en este código de práctica pueden ser aplicables.
Además, pueden requerirse controles y pautas adicionales no incluidas en esta norma.
Cuando se desarrollan los documentos conteniendo pautas adicionales o controles,
puede ser útil incluir las referencias cruzadas a las cláusulas en esta norma dónde
aplique para facilitar la verificación de cumplimiento por parte de interventores y
socios de negocios.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 4
5. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
0.9 Términos y definiciones
Para los propósitos de este documento los siguientes términos y definiciones aplican:
2.1 Activo cualquier elemento que tenga un valor para la organización [ISO/IEC 13335-
1:2004]
2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso las
políticas, los procedimientos, las pautas, prácticas o estructuras organizacionales que pueden
ser de tipo administrativo, técnico, de gestión, o de naturaleza legal.
NOTA La palabra control se usa como un sinónimo para resguardo o contramedida.
2.3 pauta una descripción que clarifica lo que debe hacerse y cómo, para lograr el conjunto de
los objetivos establecidos en las políticas [ISO/IEC 13335-1:2004]
2.4 facilidades de procesamiento de información cualquier sistema de procesamiento de
información, servicio o infraestructura, o las localidades físicas que los alojan
2.5 la seguridad de información la preservación de la confidencialidad, integridad y
disponibilidad de la información; además, otras propiedades, fuertemente relacionadas tales
como la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden también ser
involucradas.
2.6 el evento de seguridad de la información es una ocurrencia identificada de un sistema,
servicio o estado de la red indicando una posible brecha de la política de seguridad de
información o fracaso de sus resguardos, o una situación previamente desconocida que puede
ser pertinente a la seguridad. [ISO/IEC TR 18044:2004
2.7 incidente de seguridad de información
un incidente de seguridad de la información se indica por un solo o una serie de eventos de
seguridad de la información no deseados o inesperados que tienen una probabilidad
significativa de comprometer las operaciones del negocio mediante las amenazas a la
seguridad de la información.[ISO/IEC TR 18044:2004]
2.8 la política la intención y dirección global como formalmente fue expresada por la gerencia
o administración
2.9 el riesgo la combinación de la probabilidad de un evento y su consecuencia [ISO/IEC
Guide 73:2002]
2.10 análisis de riesgo el uso sistemático de información para identificar las fuentes y estimar
el riesgo [ISO/IEC Guide 73:2002]
2.11 la valoración del riesgo el proceso global de análisis de riesgo y evaluación de riesgo
[ISO/IEC Guide 73:2002]
2.12 la evaluación del riesgo el proceso de comparar el riesgo estimado contra el criterio de
un riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002]
2.13 la gestión del riesgo las actividades coordinadas para dirigir y controlar una organización
con respecto al riesgo
NOTA: La gestión del Riesgo incluye típicamente valoración de riesgo, tratamiento de riesgo,
aceptación de riesgo y comunicación del riesgo.[ISO/IEC Guide 73:2002]
2.14 Tratamiento del riesgo el proceso de selección y aplicación de medidas para modificar el
riesgo [ISO/IEC Guide 73:2002]
2.15 tercera parte esa persona o institución que se reconocen como un ser independiente de las
partes involucradas, con respecto a un problema, trabajo o labor en cuestión [ISO/IEC Guide
2:1996]
2.16 la amenaza una causa potencial de un incidente no deseado que puede producir daño a
un sistema u organización [ISO/IEC 13335-1:2004]
2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarse
por uno o más amenazas [ISO/IEC 13335-1:2004]
Autor: Ingeniero Jaime Hernando Rubio Rincón página 5
6. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Concepto integrado de los diferentes elementos de la
seguridad de la información
Análisis de
riesgos
Vulnerabilidad Riesgo
Amenaza:
Confidencialidad Evento
Disponibilidad
Integridad
Autenticidad Plan de protección,
(No repudio) Recursos de HW y SW
(FW, IDS, Criptografía)
para protección, PPPE y
auditoria permanente
Figura 1. Relación vulnerabilidad, amenaza, riesgo y evento
En la Figura 1 pretendemos hacer un esquema que explique integralmente
los conceptos fundamentales de la seguridad. En primer lugar tenemos
las vulnerabilidades que vienen siendo como los puntos débiles de la
seguridad de la información. Haciendo una paradoja puede ser como un
defecto de la infraestructura de recursos informáticos que pone en riesgo
su propia supervivencia o la la de la información. Por otro lado tenemos el
sutil tema de la amenaza en cualquiera de sus tipos incluidos en la
gráfica, externa o interna a la organización. La conjunción simultanea de
la vulnerabilidad y la amenaza construye e implica un riesgo de
seguridad.
La ocurrencia del riesgo lo convierte entonces en un evento y la teoria de
Seguridad y Protección de la información es ese conjunto de actividades
marcadas en azul que trata por todos los medios que el riesgo se
convierta en evento, mitigando la probabilidad de ocurrencia del mismo.
1.0 Evaluando riesgos de seguridad
Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos
contra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Los
resultados deben guiar y deben determinar la apropiada acción administrativa y la prioridad
para gestionar el riesgo de la seguridad de información y para implementar los controles
seleccionados para protegerse contra estos riesgos. El proceso de evaluar los riesgos y
Autor: Ingeniero Jaime Hernando Rubio Rincón página 6
7. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentes
de la organización o los sistemas individuales de información.
La valoración de riesgo debe incluir el enfoque sistemático de estimar la magnitud de riesgos (el
análisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgo
para determinar la importancia de los riesgos (la evaluación de riesgo).
También deben realizarse periódicamente las valoraciones de riesgo para conducir los cambios
en los requerimientos seguridad y en la situación de riesgo, por ejemplo en los recursos,
amenazas, las vulnerabilidades, los impactos, la evaluación del riesgo, y cuando los cambios
significativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metódica
capaz de producir resultados comparables y reproducibles.
La valoración del riesgo de seguridad de la información debe tener un alcance claramente
definido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otras
áreas, si es lo apropiado.
El alcance de una valoración de riesgo o puede ser la organización entera, o las partes de la
organización, un sistema de información individual, componentes del sistema específicos, o
servicios dónde esto es factible, realista, y útil. Se discuten ejemplos de metodologías de
valoración de riesgo en ISO/IEC TR13335-3 (Las guías para la Gestión de la Seguridad de
la información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN).
1.2 Tratando los riesgos de seguridad
Antes de considerado el tratamiento de un riesgo, la organización debe decidir el criterio para
determinar si o no se pueden aceptar los riesgos. Por ejemplo, pueden aceptarse los riesgos si se
evalúa que el riesgo es bajo o que el costo de tratamiento no es rentable para la organización.
Las decisiones tomadas deben documentadas.
Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisión
de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen:
a) aplicando los controles apropiados para reducir los riesgos;
b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen
claramente
la política de organización y los criterio para la aceptación de riesgo;
c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los
riesgos;
d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o
proveedores.
Para los riesgos dónde la decisión de tratamiento de riesgo ha sido aplicar los controles
apropiados, estos controles deben seleccionarse y deben llevarse a cabo para cumplir con los
requerimientos identificados por una valoración de riesgo. Los controles deba asegurar que se
reducen los riesgos a un nivel aceptable teniendo en cuenta:
a) los requerimientos y restricciones de la legislación nacional e internacional y las
regulaciones;
b) los objetivos organizacionales;
c) los requerimientos y restricciones operacionales;
d) el costo de implementación y operación respecto al nivel de riesgo que esta siendo
reducido, y restante , permaneciendo proporcional a los requerimientos y restricciones
de la organización.
e) la necesidad de equilibrar la inversión en la aplicación y funcionamiento de controles
contra el
dañe para ser el resultado de los fracasos de seguridad probablemente.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 7
8. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, o
pueden diseñarse nuevos controles para satisfacer las necesidades específicas de la
organización. Es necesario reconocer que algunos controles no puedan ser aplicables a cada
sistema de información o ambiente, y no podría ser factible para todas las organizaciones. Como
un ejemplo, el parágrafo 10.1.3 describe cómo pueden dividir los deberes y funciones para
prevenir el fraude y el error. No puede ser posible para las organizaciones más pequeñas dividir
todos los deberes y otras maneras de lograr el mismo objetivo del control pueden ser
necesarias. Como otro ejemplo, el parágrafo 10.10 describe cómo el uso del sistema puede
supervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registro
de eventos, podrían entrar en choque con la legislación aplicable, como protección de la
privacidad del cliente o en el lugar de trabajo.
Los controles de seguridad de información deben ser considerados en los sistemas, proyectos y
aplicaciones diseñando la especificación de los requerimientos de seguridad en la fase de
diseño.
Fallas en este punto puede producir costos adicionales así y hacer menos eficaz las soluciones,
y quizá, en el peor caso, incapacidad para lograr la seguridad adecuada.
Debe tenerse presente que ningún conjunto de controles puede lograr la seguridad completa, y
gestión adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y la
efectividad en los controles de seguridad para soportar los objetivos de la organización.
2 Política de seguridad
Un política de seguridades es una decisión ejecutiva sobre el quehacer en
el procesamiento, acceso, almacenamiento, creación, mantenimiento y
eliminación de la información, para protegerla adecuadamente.
2.1 Política de seguridad de información
El objetivo: Proporcionar gestión de dirección y apoyar la seguridad de información de acuerdo
con los requerimientos del negocio, leyes pertinentes y regulaciones.
La dirección debe establecer una política clara en la línea con los objetivos del negocios y debe
demostrar apoyo y compromiso con la seguridad de información a través de la emisión y
mantenimiento de una política de seguridad de información para la organización.
2.1.2 Documento de la política de seguridad de la información
Control
Un Documento de la política de seguridad de la información debe aprobarse por la dirección, y
publicarlo y comunicarlo a todos los empleados y la tercera parte externa pertinente.
La guía de aplicación
El Documento de la política de seguridad de la información debe declarar el compromiso de la
dirección y debe partir del enfoque de la organización para el manejo de la seguridad de
información. El documento de la política debe contener declaraciones involucrando:
a) una definición de seguridad de la información, sus objetivos globales, alcance y la
importancia de la seguridad como un mecanismo habilitador para compartir la
información (ver el parágrafo de la introducción);
b) una declaración de intención de la dirección para , apoyar las metas y principios de
seguridad de la información, en línea con la estrategia y objetivos de negocios;
Autor: Ingeniero Jaime Hernando Rubio Rincón página 8
9. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
c) un armazón por establecer objetivos de control y controles, incluso la estructura de la
valoración y manejo de riesgo;
d) una explicación breve de las políticas de seguridad, principios, normas, y
requerimientos de cumplimiento de importancia particular para la organización,
incluyendo:
1) la complacencia con el legislativo, los requerimientos reguladores y
contractuales;
2) la educación de seguridad, entrenamiento, y requerimientos de conocimiento;
3) la gestión de continuidad del negocio;
4) las consecuencias de las violaciones de la política de seguridad de la
información;
e) una definición de las responsabilidades generales y específicas para la gestión de la
seguridad de información, incluyendo el informar los incidentes de seguridad de la
información;
f) las referencias a documentación que pueden apoyar la política, por ejemplo la
seguridad más detallada las políticas y procedimientos para los sistemas de información
específicos o las reglas de seguridad que los usuarios deben cumplir.
Esta política de seguridad de información debe comunicarse a lo largo de la organización a los
usuarios en un formato apropiado, accesible y entendible al lector intencional.
Otra información
La política de seguridad de información podría ser una parte de un documento de la política
general. Si la información de la política de seguridad es distribuída fuera de la organización, el
debe tenerse cuidado para no descubrir o revelar información sensible. Información adicional
puede encontrarse en el ISO/IEC 13335-1:2004.
2.1.3 Revisión de la política de seguridad de información
Control
La política de seguridad de información debe revisarse a intervalos planeados o si ocurren
cambios significativos para asegurar su conveniencia de continuación, suficiencia, y efectividad.
La guía de aplicación
La política de seguridad de información debe tener un dueño quien tenga responsabilidades de
gestión aprobadas para el desarrollo, revisión, y evaluación de la política de seguridad. La
revisión debe incluir las oportunidades de evaluación para la mejora de la política de seguridad
de información de la organización y enfoque a manejar la seguridad de información en
respuesta a los cambios al ambiente organizacional, las circunstancias comerciales y de
negocios, las condiciones legales, o el ambiente técnico.
La revisión de la política de seguridad de información debe tomar cuenta de los resultados de
revisiones manejadas. Allí debe definirse los procedimientos de manejo de revisión, incluso un
horario o período de la revisión.
La entrada a la gestión de revisión debe incluir la información en:
a) la retroalimentación de terceras partes interesadas;
b) los resultados de revisiones independientes (vea 6.1.8);
c) el estado de acciones preventivas y correctivas (vea 6.1.8 y 15.2.1);
d) los resultados de revisiones de gestiones anteriores;
e) efectividad del proceso y cumplimientos de las política de seguridad de la
información;
Autor: Ingeniero Jaime Hernando Rubio Rincón página 9
10. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
f) cambios que podrían afectar el enfoque de la organización al manejo de la seguridad
de información, incluso los cambios al ambiente organizacional, circunstancias
comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y
legales, o al ambiente técnico;
g) las tendencias relacionadas con las amenazas y vulnerabilidades;
h) incidentes reportados de seguridad de información (vea 13.1);
i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6).
La salida de la gestión de revisión debe incluir cualquier decisión y acciones relacionadas a:
a) la mejora del enfoque de la organización a la gestión de la seguridad de la
información y sus procesos;
b) la mejora de objetivos de control y controles;
c) la mejora en la asignación de recursos y/o responsabilidades.
Un registro de la gestión de revisión debe mantenerse. La aprobación gerencial para la política
revisada debe obtenerse.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 10